LockBit démantelé : les acteurs de la cyber restent vigilants

Chester Wisniewski, directeur, Field CTO, Sophos

« Le travail de la National Crime Agency (NCA) au Royaume-Uni et de ses partenaires internationaux a porté un coup sévère au syndicat criminel de ransomwares le plus prolifique au monde. Depuis l’implosion de Conti en mai 2022, nous n’avons jamais eu autant d’informations sur le mode de fonctionnement de ces groupes. La nature décentralisée de ces derniers les rend particulièrement difficiles à traquer. »

« Ce démantèlement nous apprend des faits essentiels sur Lockbit. Il semble que les forces de l’ordre aient eu accès aux clés de chiffrement utilisées pour verrouiller les fichiers des victimes et qu’elles les fourniront pour aider à la restauration des données et systèmes ; nous espérons que cela accélérera la récupération et réduira l’impact sur les cibles de Lockbit. Il a également été révélé que les données des personnes ayant payé la rançon n’ont pas été supprimées par les criminels, ce qui n’est malheureusement pas une surprise. »

« Une grande partie de l’infrastructure de Lockbit est toujours en ligne, mais je ne m’attends pas à un retour triomphal. Ces groupes changent continuellement de marque et se regroupent sous différentes bannières pour continuer à saccager les réseaux de victimes innocentes et prendre des identités nominatives pour échapper aux sanctions. Ce n’est qu’un au revoir pour le moment, mais tout comme d’autres groupes avant eux, ceux qui n’ont pas été appréhendés sont susceptibles de continuer à commettre des crimes. La vigilance reste de mise et nous devons rester sur nos gardes. »

Ivan Kwiatkowski, chercheur en cybersécurité chez Harfanglab 

« Cette opération d’ampleur, qui démontre le poids et l’importance de la coopération internationale, est une victoire pour les forces de l’ordre dans la lutte contre le cybercrime. Réussir à saisir les infrastructures d’un groupe aussi prolifique de Lockbit 3.0, c’est non seulement ralentir leurs opérations, mais également envoyer un message fort à ses affiliés.

En effet, l’écosystème du ransomware fonctionne à la manière d’une entreprise avec de nombreuses parties prenantes impliquées dans la chaine d’infection, les acteurs sont basés un peu partout sur le globe et ont chacun des missions bien précises dans la diffusion d’un ransomware. On peut espérer, en termes de résultats positifs que dans la saisie de cette infrastructure, les forces de l’ordre auront accès à certaines clés de déchiffrement, ou à certaines rançons, pas encore récupérées qui pourraient permettre aux victimes de recouvrer leurs données, ou leur argent.

 Il ne faut pas minimiser cette opération coup de poing, mais malheureusement, il faut malgré tout rester prudents car nous avons vu par le passé de nombreux cas où les groupes trouvent le moyen de revenir, de restructurer leur architecture, et finalement de continuer à œuvrer.

Si certains acteurs ont été arrêtés dans le cadre de cette opération, il semble peu probable que l’intégralité des responsables ou acteurs de Lockbit soient interpelés, ce qui signifie que de nombreux affiliés pourront continuer à exercer dans le monde du ransomware, pourquoi pas pour d’autres groupes, avec d’autres malwares, en attendant la reconstruction de l’infrastructure de Lockbit.

Il ne fait aucun doute que la saisie des infrastructures risque de ralentir les opérations du gang pendant quelques temps, mais il y a fort à parier qu’un certain nombre d’acteurs disposent encore des codes sources des malwares du groupe ; et trouvent le moyen de reconstruire leur écosystème. »

Paolo Passeri, Cyber Intelligence Specialist chez Netskope

« Les forces de police adoptent une approche plus agressive lors des opérations contre les cyber-gangs, l’opération contre LockBit, faisant suite à celles contre ALPH/BlackCat et HIVE, ne fait pas exception. L’implication de plusieurs pays démontre une sophistication croissante de ces réseaux criminels, mais également d’une collaboration solide en matière de défense entre différentes nations.

La technique des forces de l’ordre pour saisir le contrôle du site Internet de LockBit est un peu ironique. Elles ont, en effet, exploité la vulnérabilité CVE-2023-3824, affectant PHP, utilisant ainsi la méthode d’attaque du groupe de cybercriminels, dont l’exploitation de vulnérabilités est l’une des principales méthodes d’attaque. Il est important de préciser que de simples erreurs opérationnelles peuvent nuire gravement à la capacité de fonctionnement d’une organisation. Il est, par conséquent, essentiel que les entreprises prennent le temps d’analyser et de protéger leur infrastructure.

Cet assaut réussi est une victoire pour la lutte contre les ransomwares à un niveau macro et systémique, mais n’a pas pour autant éliminé le groupe de cybercriminels. Ces derniers continuent à s’adapter, à se coordonner et à faire évoluer leurs capacités. Par conséquent, les gouvernements et les industries privées se doivent de continuer à faire de même. Les organisations ont pour mission de construire, développer, collaborer à tous les niveaux afin de faire face à la menace mondiale que représentent les gangs de ransomwares. »

Alexander Zabrovsky, analyste de l'équipe Digital Footprint Intelligence de Kaspersky

« LockBit a servi de modèle à de nombreux groupes cybercriminels, et pas seulement aux familles de ransomware. Son démantèlement marque une étape importante pour l'ensemble de la communauté cyber. La rapidité avec laquelle les forces de l'ordre ont déployé leur intervention, de l'arrestation des collaborateurs de Lockbit à la prise de contrôle du site web du groupe par les autorités, peut avoir des conséquences psychologiques non négligeables sur certains cybercriminels.

Cela peut les amener à s'abstenir de toute activité frauduleuse pendant un certain temps, voire les inciter à réévaluer complètement leurs activités et à les abandonner. Les résultats potentiels du démantèlement peuvent, pendant une courte période, réduire le nombre d'attaques par ransomware, car les cybercriminels, comme tout le monde, ne sont pas insensibles à la peur et à la crainte de la répression.

Toutefois, il ne faut pas négliger la possibilité qu'un autre groupe saisisse cette opportunité pour combler le vide laissé par LockBit, en apprenant de ses erreurs et en étant d'autant plus vigilants dans la mise en œuvre de ses opérations. L'objectif premier de ces groupes, en particulier ceux qui proposent des ransomwares-en-tant-que-service (RaaS), est le profit, ce qui peut inciter davantage d'acteurs malveillants à reproduire ce modèle lucratif. C'est pourquoi il est primordial de renforcer les défenses vis-à-vis des ransomwares, tant pour les entreprises que pour les organisations à but non lucratif.

LockBit a non seulement mis en place les pratiques et tactiques les plus efficaces, permettant au groupe de mener à bien ses attaques sur les entreprises sur le long terme, mais a également continuellement développé son programme de partenariat. Le site web, désormais sous le contrôle des forces de l'ordre, a révélé l'existence de 194 comptes dans le programme d'affiliation.

Pour devenir membre du programme, les candidats devaient passer un entretien et déposer une caution d'un bitcoin, une mesure destinée à protéger les auteurs de ransomwares contre les forces de l'ordre et les experts en cybersécurité. Heureusement, comme nous pouvons le constater aujourd'hui, cette stratégie n'a finalement pas suffi à assurer leur survie. »

Dirk Schrader, Resident CISO (EMEA) et VP of Security Research chez Netwrix

« Cette opération de démantèlement de Lockbit semble avoir intégré certaines leçons tirées d'opérations passées. L'opération a pénétré profondément dans le réseau derrière le groupe et a tenté de déraciner une grande partie, voire tous les éléments de sa supply chain, comme l'indiquent les notes laissées aux cybercriminels qui se connectent à la plateforme.

Cette approche augmente les chances que Lockbit ne refasse pas surface, contrairement à d'autres plateformes de ransomware récentes, comme Trickbot et ALPHV. Cependant, cela reste à être confirmé.

Bien que la saisie des crypto-monnaies et l'arrestation de deux individus soient signe d’efficacité, ce n'est pas un signe de réduction des mesures de défenses. Il existe encore de nombreux autres gangs, et il demeure encore beaucoup d'incohérences entre les pays en ce qui concerne la cybercriminalité, et il y a toujours de l'argent en jeu.  En effet, un grand nombre de cyberattaques réussies ont entraîné des dépenses imprévues. Les entreprises ne doivent donc pas réduire leurs efforts pour protéger leurs données, leurs identités et leurs infrastructures. »

Images : © DR